Azure biztonsági alapkonfiguráció a Container Registryhez
Ez a biztonsági alapkonfiguráció a Microsoft felhőbiztonsági teljesítményteszt 1.0-s verziójának útmutatását alkalmazza a Container Registryre. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt a felhőmegoldások Azure-beli védelmére. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a Container Registryre vonatkozó kapcsolódó útmutató szerint van csoportosítva.
Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender oldalÁnak Jogszabályi megfelelőség szakaszában jelennek meg.
Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, hogy segítsen felmérni a Microsoft felhőbiztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender tervre lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Megjegyzés
A Container Registryre nem alkalmazható funkciók ki lettek zárva. A Container Registry teljes felhőbiztonsági teljesítménytesztjének megtekintéséhez tekintse meg a Container Registry biztonsági alapkonfigurációjának teljes leképezési fájlját.
Biztonsági profil
A biztonsági profil összefoglalja a Container Registry nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
Szolgáltatás viselkedési attribútuma | Érték |
---|---|
Product Category (Termék kategóriája) | Számítás, tárolók |
Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez | Nincs hozzáférés |
A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Hamis |
Tárolja az inaktív ügyféltartalmakat | Igaz |
Hálózati biztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezést. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
NS-2: A felhőszolgáltatások védelme hálózati vezérlőkkel
Funkciók
Azure Private Link
Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűréséhez (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Helyezzen üzembe privát végpontokat az összes olyan Azure-erőforráshoz, amely támogatja a Private Link funkciót, hogy privát hozzáférési pontot hozzon létre az erőforrások számára.
Referencia: Privát csatlakozás azure-beli tárolóregisztrációs adatbázishoz Azure Private Link
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy "Nyilvános hálózati hozzáférés letiltása" kapcsoló használatával támogatja a nyilvános hálózati hozzáférés letiltását. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Tiltsa le a nyilvános hálózati hozzáférést a szolgáltatásszintű IP ACL-szűrési szabály használatával vagy a nyilvános hálózati hozzáférés letiltása beállítás engedélyezésével a szolgáltatásban.
Referencia: Nyilvános hálózati hozzáférés letiltása
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ContainerRegistry:
Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést | Az Azure tárolóregisztrációs adatbázisai alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, csak adott privát végpontokról, nyilvános IP-címekről vagy címtartományokból engedélyezze a hozzáférést. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő állapotú erőforrásokban jelenik meg. A Container Registry hálózati szabályairól itt talál további információt: https://aka.ms/acr/privatelinkéshttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Naplózás, megtagadás, letiltva | 2.0.0 |
Identitáskezelés
További információt a Microsoft felhőbiztonsági teljesítménytesztje, az Identitáskezelés című témakörben talál.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Funkciók
Azure AD adatsík-hozzáféréshez szükséges hitelesítés
Leírás: A szolgáltatás támogatja Azure AD-hitelesítés használatát az adatsík-hozzáféréshez. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Hitelesítés Azure-tárolóregisztrációs adatbázissal
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például egy helyi felhasználónév és jelszó. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: Korlátozza a helyi hitelesítési módszerek használatát az adatsík-hozzáféréshez. Ehelyett használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként az adatsík-hozzáférés vezérléséhez.
Referencia: Jogkivonat létrehozása adattár-hatókörű engedélyekkel
IM-3: Alkalmazásidentitások biztonságos és automatikus kezelése
Funkciók
Felügyelt identitások
Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ha lehetséges, szolgáltatásnevek helyett azure-beli felügyelt identitásokat használjon, amelyek hitelesíthetők az Azure Active Directory-hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban (Azure AD). A felügyelt identitás hitelesítő adatait a platform teljes mértékben felügyeli, elforgatja és védi, elkerülve a forráskódban vagy konfigurációs fájlokban található, nehezen kódolt hitelesítő adatokat.
Referencia: Azure-beli felügyelt identitás használata azure-beli tárolóregisztrációs adatbázisba való hitelesítéshez
Egyszerű szolgáltatások
Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
További útmutatás: Bár a szolgáltatásnéveket a szolgáltatás mintaként támogatja a hitelesítéshez, javasoljuk, hogy a felügyelt identitásokat használja, ahol csak lehetséges.
Referencia: Azure Container Registry hitelesítés szolgáltatásnévvel
IM-7: Az erőforrás-hozzáférés korlátozása feltételek alapján
Funkciók
Feltételes hozzáférés adatsíkhoz
Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Emelt szintű hozzáférés
További információt a Microsoft felhőalapú biztonsági teljesítménytesztje: Privileged access (Emelt szintű hozzáférés) című témakörben talál.
PA-1: A kiemelt jogosultsággal rendelkező/rendszergazdai felhasználók elkülönítése és korlátozása
Funkciók
Helyi Rendszergazda fiókok
Leírás: A szolgáltatás egy helyi rendszergazdai fiók fogalmával rendelkezik. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: Ha nem szükséges rutinszintű felügyeleti műveletekhez, tiltsa le vagy korlátozza a helyi rendszergazdai fiókokat csak vészhelyzeti használatra. Minden tárolóregisztrációs adatbázis tartalmaz egy rendszergazdai felhasználói fiókot, amely alapértelmezés szerint le van tiltva.
Referencia: Hitelesítés Azure-tárolóregisztrációs adatbázissal
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Funkciók
Azure RBAC adatsíkhoz
Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Azure Container Registry szerepkörök és engedélyek
PA-8: A felhőszolgáltató támogatásának hozzáférési folyamatának meghatározása
Funkciók
Ügyfélszéf
Leírás: A Customer Lockbox használható a Microsoft támogatási hozzáféréséhez. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ön adataihoz, az Ügyfélzárolás segítségével tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.
Referencia: Ügyfélzárolás a Microsoft Azure-hoz
Adatvédelem
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.
DP-1: Bizalmas adatok felderítése, besorolása és címkézése
Funkciók
Bizalmas adatok felderítése és besorolása
Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) a szolgáltatásban történő adatfelderítéshez és -besoroláshoz használhatók. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-2: Bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Funkciók
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatok áthelyezésének monitorozásához (az ügyfél tartalmában). További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Tiltsa le a tárolóregisztrációs adatbázis exportálását annak biztosítása érdekében, hogy az adatok kizárólag az adatsíkon (docker pull) keresztül legyenek elérhetők. Ez biztosítja, hogy az adatok nem helyezhetők át a beállításjegyzékből az "acr import" vagy az "acr transfer" használatával.
Referencia: A tárolóregisztrációs adatbázisok exportálásának le kell tiltva lennie
DP-3: Bizalmas adatok titkosítása átvitel közben
Funkciók
Adatok átviteltitkosítás közben
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: A TLS 1.2 engedélyezése Azure Container Registry
DP-4: Az inaktív adatok titkosításának engedélyezése alapértelmezés szerint
Funkciók
Inaktív adatok titkosítása platformkulcsokkal
Leírás: Az inaktív adatok platformkulcsokkal történő titkosítása támogatott, az inaktív ügyféltartalmak titkosítása ezekkel a Microsoft által felügyelt kulcsokkal történik. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: A beállításjegyzék titkosítása platform által felügyelt kulccsal
DP-5: Szükség esetén használja az ügyfél által felügyelt kulcs lehetőséget az inaktív adatok titkosításában
Funkciók
Inaktív adatok titkosítása CMK használatával
Leírás: Az inaktív adatok ügyfél által felügyelt kulcsokat használó titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Az inaktív adatok titkosításának engedélyezése és implementálása az ügyfél által felügyelt kulcs használatával ezekhez a szolgáltatásokhoz.
Referencia: Regisztrációs adatbázis titkosítása ügyfél által felügyelt kulccsal
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ContainerRegistry:
Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal kell titkosítani | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a regisztrációs adatbázisok többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által kezelt kulcsok általában szükségesek a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által kezelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault kulccsal. Teljes körű ellenőrzést és felelősséget vállal a kulcsfontosságú életciklusért, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/acr/CMK. | Naplózás, megtagadás, letiltva | 1.1.2 |
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vault
Leírás: A szolgáltatás támogatja az Azure Key Vault-integrációt minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Eszközkezelés
További információkért lásd a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című cikket.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhatja a Azure Policy az Azure-erőforrások konfigurációinak naplózására és kikényszerítésére. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérést észlel az erőforrásokon. Használja Azure Policy [deny] és [deploy ha nem létezik] effektusokat az Azure-erőforrások közötti biztonságos konfiguráció kikényszerítéséhez.
Referencia: Az Azure-tárolóregisztrációs adatbázisok megfelelőségének naplózása a Azure Policy használatával
Naplózás és fenyegetésészlelés
További információ: A Microsoft felhőbiztonsági benchmarkja: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Funkciók
Microsoft Defender szolgáltatáshoz/termékajánlathoz
Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Használja a felhőalapú Microsoft Defender beépített veszélyforrás-észlelési képességet, és engedélyezze a Microsoft Defender a Tárolóregisztrációs adatbázis erőforrásaihoz. Microsoft Defender tárolóregisztrációs adatbázis egy másik biztonsági intelligenciát biztosít. Szokatlan és potenciálisan káros kísérleteket észlel a Tárolóregisztrációs adatbázis erőforrásainak elérésére vagy kihasználására.
Referencia: A tárolókhoz készült Microsoft Defender áttekintése
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Funkciók
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Azure-erőforrásnaplók engedélyezése a Container Registryhez. A felhőhöz és a Azure Policy Microsoft Defender használatával engedélyezheti az erőforrásnaplókat és a naplóadatok gyűjtését. Ezek a naplók kritikus fontosságúak lehetnek a biztonsági incidensek kivizsgálásához és a kriminalisztikai gyakorlatokhoz.
Referencia: Monitorozási Azure Container Registry
Biztonsági másolat és helyreállítás
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Funkciók
Azure Backup
Leírás: A szolgáltatásról biztonsági másolatot készíthet a Azure Backup szolgáltatás. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Szolgáltatás natív biztonsági mentési képessége
Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem használja Azure Backup). További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapterveiről